• XSS.stack #1 – первый литературный журнал от юзеров форума

Актуальный Windows руткит

Отслеживать
Pernat1y

Pernat1y

CPU register
Пользователь
Регистрация
19.04.2008
Сообщения
1 732
Решения
1
Реакции
1 293
Гарант сделки
1
Депозит
0.0002
Ищу ядерный руткит под Windows (7-10, x64/x86) со стандартным функционалом - сокрытие процессов, файлов, ключей реестра. Загрузка драйвера - не проблема.
Кто-то видел такое в паблике?

Помимо этого:
github.com

GitHub - JKornev/hidden: 🇺🇦 Windows driver with usermode interface which can hide processes, file-system and registry objects, protect processes and etc

🇺🇦 Windows driver with usermode interface which can hide processes, file-system and registry objects, protect processes and etc - JKornev/hidden
github.com
И остальных сорцов с гитхаба.
 
Последнее редактирование:
500mhz сказал(а):
Это называется minifilter, пишется на коленке.
Спасибо, посмотрю.

500mhz сказал(а):
Но как ты его грузить будеш?
Я сейчас копаю в сторону ByePg/UPGDSED:

ByePg: Defeating Patchguard using Exception-hooking

<p>Now I know what you are thinking, exception hooks? …in kernel-mode? Yes, it is certainly is not as easy as a mere call to kernel32!AddVectoredExceptionHandler, but with some thinking out of t
blog.can.ac
github.com

GitHub - hfiref0x/UPGDSED: Universal PatchGuard and Driver Signature Enforcement Disable

Universal PatchGuard and Driver Signature Enforcement Disable - hfiref0x/UPGDSED
github.com

Если не прокатит, то попробую тупо через Test Mode.
 
Скрыть процесс не выйдет, да и не нужно, можно подгрузить скрытый код в почти любой процесс (VAD/PTE манипуляции). Для операций с файловой системой - минифильтр. Для операций с регистром - CmRegisterCallback.
Перед использованием UPGDSED нужно убедиться, что VBS/HVCI и аналогичные политики и защиты выключены.
 
н
Pernat1y сказал(а):
Ищу ядерный руткит под Windows (7-10, x64/x86) со стандартным функционалом - сокрытие процессов, файлов, ключей реестра. Загрузка драйвера - не проблема.
Кто-то видел такое в паблике?

Помимо этого:
github.com

GitHub - JKornev/hidden: 🇺🇦 Windows driver with usermode interface which can hide processes, file-system and registry objects, protect processes and etc

🇺🇦 Windows driver with usermode interface which can hide processes, file-system and registry objects, protect processes and etc - JKornev/hidden
github.com
И остальных сорцов с гитхаба.
ну в 2020 дальше юзермода не улетишь..
 
Не так давно на хакере проскакивала статья, где китайскими хакерами для сокрытия использовался дров от agnitum firewall, в котором использовалась вулна.
На самом деле таких драйверов много, в гитхабе было подобное.
 
AsHkERE сказал(а):
н

ну в 2020 дальше юзермода не улетишь..
Почему это? Тот же Turla Driver Loader является хорошим примером того, что ты ошибаешься.
 
Agnitum Sandbox.sys Kernel Driver Arbitrary DLL Loading - https://artemonsecurity.blogspot.com/2016/10/remsec-driver-analysis-agnitum-driver.html
Avast aswSnx.sys Kernel Driver Memory Corruption Privilege Escalation Vulnerability - https://github.com/bee13oy/AV_Kernel_Vulns/blob/master/Avast/aswSnx_BSoD1/aswSnx_BSoD1.cpp
github.com

GitHub - bee13oy/AV_Kernel_Vulns: Pocs for Antivirus Software‘s Kernel Vulnerabilities

Pocs for Antivirus Software‘s Kernel Vulnerabilities - bee13oy/AV_Kernel_Vulns
github.com
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх